Nuovi attacchi sotto le sembianze del serpente: Agonizing Serpens (aka Agrius) è un gruppo APT legato all’Iran che è attivo dal 2020. Il gruppo è noto per i suoi tergicristalli distruttivi e gli attacchi di falsi-ransomware e prende di mira principalmente le organizzazioni israeliane in più settori e paesi.
La caratteristica di questi attacchi è di voler sottrarre dati sensibili, come informazioni di identificazione personale (PII) e proprietà intellettuale. Una volta rubate le informazioni, i cybercriminali utilizzano diversi wiper per coprire le loro tracce e rendere inutilizzabili gli endpoint infetti. In base alle indagini e al modello di attribuzione di Unit 42, è possibile riferire con un alto livello di probabilità gli attacchi descritti in questo articolo al gruppo APT Agonizing Serpens (AKA Agrius, BlackShadow, Pink Sandstorm, DEV-0022), legato all’Iran. Questo sulla base delle seguenti motivazioni ed evidenze:
- Multiple somiglianze di codice nei wiper: l’analisi del wiper MultiLayer mostra numerose somiglianze di codice e una naming convention simile a quella di wiper di Agonizing Serpens già documentati, come Apostle, il suo successore Fantasy e la backdoor IPsec Helper.
- Similarità di codice nelle web shell: gli attaccanti hanno utilizzato varianti di web shell che consistevano nello stesso codice, ad eccezione dei nomi di variabili e funzioni, sostituiti per ogni campione.
- Natura distruttiva degli attacchi: la fase finale mostra una politica di “terra bruciata”, utilizzando wiper personalizzati per rendere inutilizzabili gli endpoint e coprire ogni traccia degli attaccanti, in linea con i precedenti report sull’attività del gruppo.
- Aziende israeliane come obiettivo: la telemetria di Unit 42 ha mostrato come siano state colpite esclusivamente organizzazioni israeliane. Tra queste, le più bersagliate appartengono ai settori di istruzione e tecnologia.
Risulta che il gruppo APT Agonizing Serpens abbia recentemente migliorato le proprie capacità e stia investendo in modo significativo per cercare di aggirare sistemi EDR e altre misure di sicurezza. Per farlo, ha utilizzato a rotazione diversi popolari tool proof of concept (PoC) e di pentesting, oltre a strumenti personalizzati.
Il gruppo APT Agonizing Serpens
Agonizing Serpens (noto anche come Agrius) è un gruppo APT di matrice iraniana attivo dal 2020, noto per i suoi attacchi distruttivi basati su wiper e fake-ransomware, che prende di mira principalmente aziende israeliane in diversi settori e paesi.
Sebbene le prime segnalazioni di questi attacchi parlassero di ransomware e richieste di riscatto, queste si sono rivelate in realtà un diversivo (come rivela il Unit 42 2023 Ransomware and Extortion Report). Negli attacchi più recenti, i cybercriminali non hanno chiesto alcun riscatto – con il risultato finale di un’ingente perdita di dati e dell’interruzione della continuità operativa.
I due obiettivi principali di Agonizing Serpens sono:
- Il primo è il furto di informazioni sensibili, tra cui PII e proprietà intellettuale, che gli attori delle minacce pubblicano sui social media o su Telegram. È probabile che la motivazione sia di seminare paura o causare danni alla reputazione.
- Il secondo è creare scompiglio e causare danni considerevoli, cancellando il maggior numero possibile di endpoint. Da quando è nato, il gruppo ha sfruttato strumenti di hacking già noti ma ne ha sviluppati anche di nuovi e personalizzati per portare a termine le proprie operazioni di offesa.
Gli esperti hanno messo in luce nuovi strumenti nell’arsenale del gruppo, tra cui un set di tre wiper non documentati in precedenza e uno strumento di estrazione di database. L’analisi dei nuovi wiper ha rivelato come il gruppo abbia migliorato le proprie capacità, ponendo l’accento sull’elusione, con tecniche furtive ed evasive progettate per aggirare soluzioni di sicurezza come la tecnologia EDR.